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Prufungsantrag gem. § 44 PatG ist gestellt 

@) Verfahren zum abgesicherten Zugriff auf Daten in einem Netzwerk 

(57) Durch das erfindungsgemaGe Verfahren werden die 
Datenschutzrechte an insbesondere personenbezogenen 
Daten gewahrt, die in einem Netzwerk mit verteilten Spei- 
chern zur Verfugung stehen. Das Verfahren basiert auf der 
Vergabe mit Widerrufsmoglichkeit von Inhaber-Zugriffs- 
rechten auf die in dem Netzwerk zur Verfugung stehenden 
Daten, sowie der Speicherung von Daten innerhalb des 
Netzwerkes nur nach Autorisierung durch den Inhaber 
der Rechte an den Daten. Bei einer Anfrage nach be- 
stimmten Daten konnen nur die Referenzen derjenigen 
Datensatze angegeben werden, auf die der Anfragende 
auch die Zugriffsrechte besitzt, wobei vorhandene Daten 
ohne Zugriffsrechte nicht erkannt werden konnen. Soil 
auf bestimmte Daten zugegriffen werden, so kann wieder- 
um eine Uberprufung der Zugriffsrechte erfolgen, bevor 
■ ein Datenzugriff erlaubt wird. 
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Beschreibung 

Die Erfindung betriff ein Verfahren zum abgesicherten 
Zugriff auf Daten in einem Netzwerk, im Speziellen in ei- 
nem Netzwerk mit einem Informationscenter und wenig- 5 
stens einem Datenraum-Zugriffssystem, wobei unter dem 
Begriff Datenraum-Zugriffssystem eine Einrichtung ver- 
standen wird, die Speicherplatz (Datenraum) zur Verfugung 
stellt und den Zugriff auf gespeicherte Daten ermoglicht. 

In der nahen Zukunft sollen fur unterschiedliche Interes- 10 
sengruppen eines offentlichen oder privaten Sektors bei- 
spielsweise im Gesundheitswesen, etwa fur die Krankenkas- 
sen, das Gesundheitsministerium und medizinische Zusam- 
menschliisse, die sogenannten "Praxisnetze" entwickelt 
werden. Der Grundgedanke dieser Praxisnetze ist es, daB 15 
aufgrund einer besseren Kommunikation zwischen unter- 
schiedlichen Arztpraxen und/oder Krankenhausern zur Zeit 
haufig noch redundant ausgefiihrte medizinische Untersu- 
chungen reduziert werden konnen. In diesem Sinne ware es 
z. B. nicht notig, ein wcitcrcs Rontgcnbild einer Lunge cincs 20 
Patienten zu erstellen, wenn eine eraeute Diagnose z. B. ei- 
nes anderen Arztes unter Zuhilfenahme eines leicht zugang- 
lichen kurzlich aufgenommenen Rontgenbildes der Lunge 
dieses Patienten moglich ware. Es liegt im offentlichen In- 
teresse und dem der Versicherungsgesellschaften, die Ge- 25 
sundheitskosten zu reduzieren, weswegen insbesondere 
letztere autonome medizinische Netzwerke aufbauen moch- 
ten, mit deren Hilfe unterschiedliche Arzte eines Patienten 
zu seiner besseren und kostengiinstigeren medizinischen 
Versorgung auch auf die bereits von ihren Kollegen erstell- 30 
ten Daten dieses Patienten zugreifen konnen. 

Bei heute schon aufgebauten Versuchsmodellen besteht 
das Hauptproblem darin, eine sichere Kommunikation zu 
gewahrleisten. Es sind unterschiedliche Losungen der Ver- 
bindung eines Arztes zu medizinischen Einheiten bekannt, 35 
die hauptsachlich auf eine bestimmte Gruppe von Arzten 
begrenzt sind, z. B. die Radiologen, wobei naturgemaB eine 
Beschrankung auf eine spezielle Art der Information/Daten 
vorgegeben ist, z. B. Rontgenaufnahmen. 

Es existieren schon einige nationale und internationale 40 
Standards, die die Art der Erzeugung und Ubertragung von 
medizinischen Daten definieren, z. B. DI-COM fur Ront- 
genaufnahmen, BDT fur die Daten eines Patienten, GDT fiir 
medizinische Daten, die von medizinischen Geraten erzeugt 
wurden, z. B. von einem Elektrokardiographen oder anderen 45 
Einrichtungen. Hierbei werden hinsichtlich der abgesicher- 
ten Ubertragung von medizinischen Daten keine speziellen 
Anforderungen gestellt, da dies aufgrund unterschiedlicher 
bekannter Verschlusselungsmechanismen heute kein Pro- 
blem mehr ist. 50 

Eine besondere Aufgabe bei der Ubertragung von medizi- 
nischen Daten ist es, die individuellen Personlichkeitsrechte 
des Patienten zu gewahrleisten. Die heute praktizierte Uber- 
tragung von medizinischen In formation en ist immer dann il- 
legal, wenn sie nicht auf eine abgeschlossene medizinische 55 
Gruppe wie z. B. ein Krankenhaus oder eine Arztpraxis be- 
grenzt ist. Ein Praxisnetz mit hunderten verschiedener Pra- 
xen und Krankenhausern als abgeschlossene Gruppe zu be- 
zeichnen ware im rechtlichen Sinne wohl als eine Umge- 
hung der Personlichkeitsrechte von Patienten zu interpretie- 60 
ren. In diesem Fall hatte ein Patient keine Moglichkeit, alle 
Gruppenmitglieder zu kennen, und konnte von seinem 
Recht der Auswahl einer anderen Gruppe, wie z. B. eines 
anderen Krankenhauses, kaum Gebrauch machen. 

Demnach liegt der Erfindung die Aufgabe zugrunde, ein 65 
Verfahren zum abgesicherten Zugriff auf Daten in einem 
Netzwerk anzugeben, bei dem nur der Inhaber der Rechte an 
den Daten frei Liber diese verftigen kann. 



Ein solches Verfahren ist im Patentanspruch 1 angegeben. 
Vorteilhafte Weiterbildungen dieses Verfahrens finden sich 
in den Unteranspriichen 2 bis 16. 

Nach dem erfindungsgemaBen Verfahren kann allein der 
Inhaber der Rechte an bestimmten Daten Zugriffsrechte auf 
diese definieren. Die einmal gespeicherten Daten verbleiben 
an ihrem Speicherplatz und werden nicht zentralisiert ge- 
sammelt. Ein Zugriff auf solche abgespeicherten Daten ist 
nur mit der Autorisierung des Inhabers der Rechte an diesen 
Daten moglich. Fiir medizinische Daten bedeutet dies z. B., 
daB sie an dem Ort ihrer Erstellung verbleiben und daB an- 
dere Arzte nur mit der Erlaubnis des jeweiligen Patienten 
auf diese Daten zugreifen konnen. Eine solche Erlaubnis 
kann allgemein fiir bestimmte Arzte oder auch nur fiir den 
Einzelfall erteilt werden. Auch ist es moglich, eine einmal 
erteilte Erlaubnis wieder zu entziehen. 

Die Erfindung und vorteilhafte Weiterbildung werden 
nachfolgend anhand eines Beispiels unter Bezugnahme auf 
die Zeichnungen naher erlautert. Es zeigen: 

Fig. 1 cincn bcispiclhaftcn Aufbau cincs Nctzwcrks, in 
dem das erfindungsgemaBe Verfahren Anwendung finden 
kann; 

Fig. 2 die Erzeugung und Abspeicherung von Daten nach 
dem erfindungsgemaBen Verfahren; 

Fig. 3 ein Beispiel einer erfolglosen Anfrage nach be- 
stimmten Daten; 

Fig. 4 den Abruf und die Erteilung von Zugriff srechten an 
bestimmten Daten durch den Inhaber der Rechte an diesen 
Daten; 

Fig. 5 ein Beispiel einer erfolgreichen Anfrage nach Da- 
ten und ihrer Ubertragung an die anfragende Stelle. 

Im folgenden wird das erfindungsgemaBe Verfahren am 
Beispiel eines Praxisnetzes erlautert. Hier dient das System 
zur Versorgung einer Gruppe von Arzten mit den medizini- 
schen Unterlagen ihrer Patienten. 

Auf das System konnen mehrere Arzte zugreifen, die je- 
weils einen Zugang auf ein Datenraum-Zugriffssystem ha- 
ben miissen. Neben diesen Datenraum-Zugriffssystemen 
weist das System einen Informationscenter auf. In der Fig. 1 
ist dieses System zur Vereinfachung mit lediglich zwei Da- 
tenraum-Zugriffssystemen 1, 2 gezeigt, von denen eins eine 
Kennung DRZS 1 und das andere eine Kennung DRZS2 auf- 
weist. Solch ein Datenraum-Zugriffssystem 1, 2 kann am 
Arbeitsplatz eines oder mehrerer Arzte aufgebaut sein, z. B. 
ist in der Fig. 1 gezeigt, daB das Datenraum-Zugriffssystem 
2 in einer Arztpraxis eines Arztes B und das Datenraum-Zu- 
griffssystem 1 einem Krankenhaus aufgebaut sind, in dem 
ein Arzt A eine Zugriffsberechtigung dafur besitzt. Jedes 
Datenraum-Zugriffssystem 1, 2 kann uber ein Netzwerk 4 
mit dem Informationscenter 3 oder einem anderen Daten- 
raum-Zugriffssystem 1, 2 kommunizieren. 

Jedes Datenraum-Zugriffssystem 1, 2 enthalt einen siche- 
ren Datenspeicher, in dem die medizinischen Daten von Pa- 
tienten gespeichert werden konnen. Dieser Speicher ist da- 
durch zugriff gesichert, daB ein Datenzugriff nur uber das er- 
findungsgemaBe Verfahren erfolgen kann, wodurch ein Da- 
tenmiBbrauch mit in diesem Speicher gespeicherten Daten 
nicht moglich ist. Weiter ist durch das erfindungsgemaBe 
Verfahren gewahrleistet, daB nur neue Daten gespeichert 
werden konnen, also nicht solche, die bereits in einem ande- 
ren Datenraum-Zugriffssy stem 1, 2 gespeichert waren. Wei- 
ter konnen so wohl der jeweilige Arzt als auch der Patient 
unabhangig voneinander uber das Datenraum-Zugriffssy- 
stem 1, 2 mit dem Informationscenter 3 oder einem anderen 
an das Netzwerk 4 angeschlossenen Datenraum-Zugriffssy- 
stem 1, 2 kommunizieren, wobei nur ein Arzt Daten spei- 
chern kann. 

In dem Informationscenter 3 werden Referenzen zu den 
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Daten der Patienten und die dazugehorige Identifizierungs- 
information der Patienten und Arzte zentralisiert gespei- 
chert. 

Die Sicherheit der einzelnen Dateniibertragungen inner- 
halb dieses Systems wird iiber eine Verschliis selling der Da- 5 
teniibertragungen zwischen alien Teilnehmern gewahrlei- 
stet. Hierbei wird jede innerhalb des Systems iibertragene 
Information mit einer digitalen Signatur versehen. Bei je- 
dem Zugang wird eine Autorisierung verlangt, und alle Da- 
ten werden in verschliisselter Form iibertragen und gespei- 10 
chert. Jeder Teilnehmer, z. B. ein Arzt oder ein Patient, so- 
wie das Informationscenter und jedes Datenraum-Zugriffs- 
system verfugen iiber zwei Paare von offentlichen und ge- 
heimen Schliisseln zur Datenkodierung. Bin Paar dieser 
Schlussel, genannt die Verschlusselungsschliissel, wird fur 15 
die sichere Dateniibertragung verwendet und das andere, 
namlich die Signaturschliissel, versieht die iibertragene In- 
formation und bestatigt dadurch den Ab sender mit einer di- 
gitalen Signatur. Die geheimen Schlussel sind nur dem je- 
wciligcn Teilnehmer, Informationscenter oder Datcnraum- 20 
Zugriffs system bekannt, wohingegen die offentlichen 
Schlussel alien Teilnehmern zuganglich sind, d. h., daB jeder 
in dem System vorhandene Teilnehmer die Moglichkeit hat, 
einen offentlichen Schlussel jedes anderen Teilnehmers zu 
bekommen. Immer, wenn ein Teilnehmer eine Information 25 
iiber das Netzwerk versendet, wird das folgende Verfahren 
ausgefiihrt: 

1 . Der Sender versieht die von ihm gesendete Informa- 
tion mit einer digitalen Signatur, indem er seinen gehei- 30 
men Signaturschliissel verwendet. Hierdurch kann der 
Sender nicht nachgeahmt werden, wobei der Empf an- 
ger eine verwendete digitate Signatur mit Hilfe des of- 
fentlichen Signaturschliissels bestatigen kann. Wenn 

z. B. ein Datenraum-Zugriffssystem die Information 35 
iiber einen Patienten an das Informationscenter versen- 
det, muB diese Information bei der Erzeugung von Da- 
ten ebenfalls mit dem geheimen Signaturschliissel die- 
ses Patienten versehen sein. Hierdurch wird gesichert, 
daB die Information wirklich zu dem benannten Patien- 40 
ten gehort, und daB dieser der Ubertragung dieser In- 
formation zustimmt. 

2. Der Sender verschliisselt alle iibertragenen Daten 
mittels eines offentlichen Verschliisselungsschliissels 
des Empfangers, an den die Daten iibertragen werden. 45 
Hierdurch konnen diese iibertragenen Daten nur unter 
Verwendung des geheimen Verschliisselungsschliissels 
des Empfangers entschliisselt werden. 

3. Immer, wenn ein Teilnehmer auf das System zu- 
greift, muB er autorisiert sein und seine Identitat besta- 50 
tigt haben. Ein spezieller Datentrager, wie z. B. eine 
Chipkarte, kann zur Uberpriifung der Identitat des Teil- 
nehmers dienen. Natiirlich konnen auch andere Verfah- 
ren zur Personenidentifizierung eingesetzt werden, wie 

z. B. die Spracherkennung, die Bilderkennung, die Er- 55 
kennung von Fingerabdrlicken etc., von denen jedes 
einzeln oder in Kombination eingesetzt werden kann. 

Als sicherer Speicher fur die geheimen Schlussel eines 
Teilnehmers und andere personliche Information kann eben- 60 
falls ein spezieller Datentrager, wie z. B. eine Chipkarte, 
eingesetzt werden. 

Die offentlichen Schlussel der Teilnehmer, des Informati- 
onscenter 3 und der einzelnen Datenraum-Zugriffssysteme 
1, 2 konnen z. B. zentral in dem Informationscenter 3 ge- 65 
speichert sein. 

Die Fig. 2 zeigt die Erzeugung von Daten eines Patienten 
und den Vorgang, wie diese Daten im Sy stem zur Verfiigung 
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gestellt werden. 

Z. B. sucht der Patient N an einem Tag X den Arzt A auf 
und laBt eine neue medizinische Dateneinheit, z. B. ein 
Rontgenbild, erstellen. Wenn es der Patient N wiinscht, kann 
diese Dateneinheit iiber das Praxisnetz anderen Arzten zur 
Verfiigung gestellt werden. In diesem Fall werden die zu 
speichernden Daten des Rontgenbildes in einem ersten 
Schritt SI in einer elektronischen Form zusammen mit ei- 
nem elektronischen Formular, welches den Typ der Daten 
enthiilt, in dem Datenraum-Zugriffssystem 1 mit der Ken- 
nung DRZS1 des Arztes A gespeichert. Der Typ der Daten 
besteht hier in der Angabe, daB es sich um ein Rontgenbild 
des Patienten N handelt, das der Arzt A am Tag X aufge- 
nommen hat. Es ist auch moglich, daB der Typ der Daten le- 
diglich aus einer dieser Angaben besteht, oder daB noch 
weitere Angaben hinzugefugt werden, wie z. B. die Ken- 
nung DRZS1 des die Daten speichernden Datenraum-Zu- 
griffssy stems 1. Die Daten des Rontgenbildes werden zu- 
sammen mit dem elektronischen Formular in dem gesicher- 
tcn Datcnspcichcr des Datcnraum-Zugriffssystcms 1 gespei- 
chert. Das Speichern von Daten ist nur bei einer Autorisie- 
rung des Inhabers der Rechte an diesen Daten moglich, 
hierzu kann z. B. die Chipkarte des Patienten dienen. 

In einem zweiten Schritt S2 wird das Informationscenter 
3 von dem Datenraum-Zugriffssystem 1 benachrichtigt, daB 
es neue Daten aufweist, namlich ein Rontgenbild des Patien- 
ten N. Eine solche Benachrichtigung kann entweder unmit- 
telbar nach der Speicherung der neuen Daten oder zu einem 
bestimmten Zeitpunkt geschehen, z. B. regelmaBig zu einer 
bestimmten Uhrzeit. Natiirlich ist es auch moglich, daB das 
Informationscenter 3 zu bestimmten Zeitpunkten Anfragen 
an jedes Datenraum-Zugriffssystem 1, 2 schickt, ob neue 
Daten gespeichert wurden. 

In einem dritten Schritt S3 registriert das Information- 
scenter 3 das Vorhandensein des Rontgenbilds des Patienten 
N vom Tag X mit der Verfiigbarkeit im Datenraum-Zugriffs- 
system 1 und weist diesen Daten eine nur einfach vorhan- 
dene Identifizierung zu, z. B. NXAX, wonach diese Identifi- 
zierung mit einer benachrichtigenden Bestatigung vom In- 
formationscenter 3 an das Datenraum-Zugriffssystem 1 
iibertragen wird. Im Datenraum-Zugriffssystem 1 wird die 
so zugewiesene Identifizierung zur Verwaltung der zugeho- 
rigen Daten verwendet, indem diese zu den Daten hinzuge- 
fiigt wird. Uber eine entsprechende Konfiguration kann ge- 
wahrleistet werden, daB Daten nicht mehrfach im System 
vorhanden sind. Spatestens mit der Registrierung der Daten 
durch das Informationscenter 3 erfolgt hier eine Uberprii- 
fung der Autorisierung der Datenspeicherung durch den Pa- 
tienten. Im Falle der Nichtautorisierung werden keinem 
Teilnehmer Zugriffsrechte auf diese Daten gewahrt. 

In der Fig. 2, wie auch in den nachfolgenden Figuren be- 
deutet der hohle Pfeil eine Ubertragung von Daten in das 
System, daB heiBt die Speicherung neuer Daten in einem 
Datenraum-Zugriffssystem 1, 2, und die normalen Pfeile je- 
weils eine Kommunikation iiber das Netzwerk 4, wie z. B. 
eine Anfrage oder Benachrichtigungen. Es kann also anhand 
der Fig. 2 erkannt werden, daB in dem beschriebenen Sy- 
stem die rnedizinischen Daten nicht in das Informationscen- 
ter 3 kopiert werden, sondern nach ihrer Speicherung immer 
im Datenraum-Zugriffssystem 1 verbleiben. Das Informati- 
onscenter 3 halt nur die Referenzen zu diesen Daten und nie- 
mals die Daten selbst. Weiter wird in den Figuren eine Da- 
teniibertragung iiber das Netzwerk 4 mittels neben normalen 
Pfeilen dargestellten Rechtecken angezeigt, in denen die je- 
weils iibertragenen Daten angegeben sind. 

Die Fig. 3 zeigt den Versuch eines Datenzugriffs iiber das 
Praxisnetz. 

An einem Tag Y besucht der Patient N einen Arzt B, der 
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ein Datenraum-Zugriffssystem 2 mit der Kennung DRZS2 
besitzt. Dieser Arzt B benotigt z. B. ein aktuelles Rontgen- 
bild des Patienten N. Deshalb schickt er in einem Schritt S4 
von seinem Datenraum-Zugriffssystem 2 eine Anfrage nach 
Rontgenbildern des Patienten N an das Informationscenter 5 
3. Das Informationscenter 3 erstellt eine Liste der Referen- 
zen zu alien Rontgenbildern des Patienten N, die zur Zeit im 
Gesamtsystem vorhanden sind, d. h. in alien angeschlosse- 
nen Datenraum-Zugriffssystemen 1, 2 gespeichert sind und 
vom Informationscenter 3 registriert wurden. AnschlieBend 10 
iiberpruft das Informationscenter 3 die Zugriff srechte an den 
in dieser Liste aufgefiihrten Daten hinsichtlich des Arztes B, 
von dem die Anfrage iiber Rontgenbilder des Patienten N 
kam, und ubertragt in einem Schritt S5 lediglich die Refe- 
renzen der Rontgenbilder des Patienten N, auf die der Arzt B 15 
die Zugriffsrechte vom Patienten N, der in diesem Fall der 
Inhaber der Rechte an seinen Daten ist, erteilt bekommen 
hat. Da in diesem Fall z. B. von dem Patienten N noch keine 
Zugriffsrechte fur seine Rontgenbilder definiert wurden, ist 
dicsc Liste leer. Deshalb sendet das Informationscenter 3 20 
eine Nachricht "Keine Daten gefunden" an das Datenraum- 
Zugriffssystem 2. Dieses gibt diese Nachricht an den Arzt B 
aus. 

Demnach kann ohne Zugriffsrechte des Patienten, der der 
Inhaber der Rechte an den gespeicherten Daten ist, kein Arzt 25 
das Vorhandensein der Daten im System erkennen. Eine 
Durchbrechung dieses fiir bestimmte Daten, fiir die im ein- 
zelnen Zugriffsrechte definiert wurden, sicheren Systems ist 
nur moglich, wenn der Patient N z. B. allgemeine Zugriffs- 
rechte auf seine gesamten Daten oder auf bestimmte Daten 30 
im voraus an bestimmte Arzte gegeben hat. Auch in diesem 
Fall hat aber der Patient selbst bestimmt, wer auf seine Da- 
ten zugreifen kann, also wurden auch hier seine Daten- 
schutzrechte gewahrt. 

Die Fig. 4 stellt die Definition von Zugriff srecht en des 35 
Patienten in dem Informationscenter 3 dar. 

Der Patient N kann in einem Schritt S6 z. B. iiber das Da- 
tenraum-Zugriffssystem 2 eine Liste aller seiner zur Zeit im 
Gesamtsystem zur Verfugung stehenden Daten vom Infor- 
mationscenter 3 abrufen. Alternativ kann er auch nur eine 40 
Liste von bestimmten Daten abrufen. In einem Schritt S7 
verarbeitet das Informationscenter diese Anfrage und sendet 
die jeweils geforderte Liste an das Datenraum-Zugriffssy- 
stem 2. Der Patient N kann jetzt Zugriffsrechte an den durch 
die Liste aufgezeigten Daten definieren. Hat er z. B. eine Li- 45 
ste aller seiner Rontgenbilder angefordert, so kann er defi- 
nieren, daB der Arzt B und/oder jeder andere Arzt oder eine 
bestimmte Gruppe von Arzten auf das am Tag X vom Arzt A 
gefertigte Rontgenbild mit der Identifizierung NXAX zu- 
greifen kann. Ein solches Zugriff srecht kann zeitlich be- 50 
grenzt oder unbegrenzt sein. Das Zugriffsrecht kann auch im 
voraus fiir andere in der Zukunft zur Verfugung stehende 
Daten vergeben werden. Hat der Patient N alle gewtinschten 
Zugriffsrechte definiert, so kann er in einem Schritt. S8 iiber 
das Datenraum-Zugriffssystem 2 eine Aktualisierung der 55 
Zugriffsrechte im Informationscenter 3 bewirken. Das In- 
formationscenter 3 speichert in einem Schritt S9 die Ande- 
rungen und sendet eine Bestatigung zuriick an das Daten- 
raum-Zugriffssystem 2. 

Diese Zugriffsrechte konnen alternativ auch zu dem Zeit- 60 
punkt vergeben werden, zu dem neue Daten in einem Daten- 
raum-Zugriffssystem 1, 2 gespeichert werden. Ein Patient 
oder sonstiger Inhaber von Rechten an in einem Datenraum- 
Zugriffssystem 1, 2 gespeicherten Daten kann Zugriffs- 
rechte von jedem beliebigen Datenraum-Zugriffssystem 1, 2 65 
aus vergeben. Denkbar ware es z. B., daB solche Daten- 
raum-Zugriff ssysteme 1, 2 neben ihrem Standort in Arztpra- 
xen oder Krankenhausern auch in Apotheken aufgestellt 
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werden, oder daB auf ein Praxisnetz auch iiber das Internet 
zugegriffen werden kann, wodurch jeder internetfahige 
Computer zu einem Datenraum-Zugriffssystem oder zumin- 
dest zu einem Zugriffssystem werden konnte, welches kei- 
nen Speicherplatz zur Verfugung stellt. Der Inhaber der 
Rechte an in einem Datenraum-Zugriffssystem 1, 2 gespei- 
cherten Daten, hier also der Patient, ist aufgrund seiner Au- 
torisierung und Identifikation die einzige Person, der die Zu- 
griffsrechte vom Informationscenter 3 angezeigt werden 
und/oder die sie im Informationscenter 3 modifizieren kann. 

Die Fig, 5 zeigt den fiir einen erfolgreichen Zugriff auf 
bestimmte Daten notigen Ablauf. 

Nach der Definition der Zugriffsrechte an den am Tag X 
vom Arzt A aufgenommenen Rontgenbild des Patienten N 
mit der Identifizierung NXAX fiir den Arzt B durch den Pa- 
tienten N startet der Arzt B in einem Schritt S 10 eine erneute 
Anfrage an das Informationscenter, alle Referenzen zu den 
Rontgenbildern des Patienten N anzugeben. In einem Schritt 
Sll stellt das Informationscenter eine Liste der Referenzen 
alter zur Zeit in alien Datenraum-Zugriffssystemen vorhan- 
denen Rontgenbilder des Patienten N zusammen, iiberpruft 
die Zugriffsberechtigungen hinsichtlich des anfragenden 
Arztes B und wahlt lediglich die Rontgenbilder aus, auf die 
der Arzt B zugreifen darf, um die zugehorigen Referenzen 
an das Datenraum-Zugriffssystem 2 zu iibertragen, von dem 
aus der Arzt B die Anfrage an das Informationscenter ausge- 
fiifirt hat. In diesem Fall wird z. B. nur die Identifizierung 
NXAX des am Tag X vom Arzt A erstellten Rontgenbildes 
des Patienten N zusammen mit dem Speicherort/der 
Adresse, hier das Datenraum-Zugriffssystem 1 mit der Ken- 
nung DRZS1, an das Datenraum-Zugriffssystem 2 iibertra- 
gen, welches dem Arzt B diese Information anzeigt. Der 
Arzt B kann also nur die Referenzen zu Daten sehen, auf die 
der Patient N dem Arzt B Zugriffsrechte gewahrt hat. Die 
Referenzen konnen z. B. die Art der Daten, hier Rontgen- 
bild, das Datum der Untersuchung, hier den Tag X, den un- 
tersuchenden Arzt, hier den Arzt A, den Speicherort der Da- 
ten, hier das Datenraum-Zugriffssystem 1 mit der Kennung 
DRZS1, oder auch noch weitere Daten enthalten. In einem 
Schritt S 12 wahlt der Arzt B das Rontgenbild mit der Iden- 
tifizierung NXAX aus, woraufhin das Datenraum-Zugriffs- 
system 2 eine Anfrage des Arztes B iiber das Rontgenbild 
mit der Identifizierung NXAX an das Datenraum-Zugriffs- 
system mit der Kennung DRZS1, hier das Datenraum-Zu- 
griffssystem 1 sendet. In einem Schritt S13 sendet das Da- 
tenraum-Zugriffssystem 1 daraufhin eine Anfrage an das In- 
formationscenter 3, um zu bestatigen, daB der Arzt B die Zu- 
griffsrechte auf das Rontgenbild mit der Identifizierung 
NXAX besitzt. Das Informationscenter 3 antwortet in einem 
Schritt S14 mit einer Bestatigung, woraufhin das Daten- 
raum-Zugriffssystem 1 in einem Schritt S15 die Daten des 
Rontgenbildes mit der Identifizierung NXAX an das Daten- 
raum-Zugriffssystem 2 ubertragt. Dieses stellt die empfan- 
genen Daten des Rontgenbildes in akzeptabler Form dar 
und/oder laBt den Arzt B die Daten zur weiteren Verarbei- 
tung speichern, wobei eine solche Speicherung nicht in dem 
sicheren Speicher des Datenraum-Zugriffssysterns 2, son- 
dern auf einem anderen Speichermedium erfolgen muB, 
denn sonst wafen die Daten mehrfach im System vorhanden. 

Hat eine berechtigte Person die empfangenen Daten ein- 
mal fiir die weitere Verarbeitung gespeichert, so kann sie na- 
turlich immer wieder auf diese gespeicherten Daten zugrei- 
fen. Ein Zugriff liber das Praxisnetz ist jedoch nur solange 
moglich, wie es der Inhaber der Rechte an diesen Daten iiber 
die Definition der Zugriffsrechte erlaubt. 

Da also nach dem erfindungsgemaBen Verfahren ein Spei- 
chern von bestimmten Daten nur mit der Zustimmung des 
Inhabers der Rechte an diesen Daten moglich ist und auch 
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ein Abrufen solcher Daten nur mit Zustimmung des Inha- 
bers der Rechte an diesen Daten moglich ist, werden die Per- 
sonlichkeltsrechte z. B. eines Patienten gewahrt. Das Sy- 
stem arbeitet fiir jeglichen Benutzer vollkommen transpa- 
rent, wobei der einzelne Benutzer keine Kenntnisse fiber die 5 
Sicherheits- oder Ubertragungsverfahren haben muB. Durch 
die Verschlusselung der gesendeten Daten konnen unbe- 
rechtigte Personen nicht "mithoren" und durch die Defini- 
tion von bestimmten Zugriffsrechten fiir bestirnmte Daten 
durch den Inhaber der Rechte an ihnen konnen keine unbe- 10 
rechtigten Datenzugriffe geschehen. 

Das erfindungsgemaBe Verfahren zum abgesicherten Zu- 
griff auf Daten in einem Netzwerk kann natfirlich auch auf 
andere nicht-medizinische Netzwerke angewandt werden, 
da hier ein System zur Steuerung der Verteilung individuel- 15 
ler Daten vorgeschlagen ist. Ein anderer Anwendungsbe- 
reich ist z. B. die Verteilung von Personendaten zu ihrer 
Identifikation, wodurch die Ubertragung dieser Daten z. B. 
zwischen unterschiedlichen Verwaltungsbehorden ohne eine 
zcntralisicrtc Datcnbank der cinzclncn Burger flcxiblcr gc- 20 
staltet werden kann. Durch das erfindungsgemaBe System 
hat der nur betroffene Burger selbst und allein die Verffi- 
gungsgewalt iiber seine individuellen Daten. 

Patentansprfiche 25 

1. Verfahren zum abgesicherten Zugriff auf Daten in 
einem Netzwerk mit einem Informationscenter (3) und 
wenigstens einem Datenraum-Zugriffssystem (1, 2), 
dadurch gekennzeichnet, daB allein der Inhaber der 30 
Rechte an zu speichernden Daten das Speichern dieser 
Daten in einem ihm hierzu nicht zuganglichen Daten- 
raum-Zugriffssystem (1, 2) erlauben und die Zugriffs- 
rechte Dritter auf diese Daten in einem Information- 
scenter (3) definieren kann. 35 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB eine Autorisierung der Speicherung von Daten 
und der Definition der Zugriffs rechte Dritter an den 
Daten fiber eine Identitatsprufung des Inhabers der 
Rechte an den Daten erfolgt. 40 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB zu speichernde Daten zusammen mit ei- 
nem elektronischen Formular, welches den Typ der Da- 
ten enthalt, in dem Datenraum-Zugriffssystem (1) ge- 
speichert werden. 45 

4. Verfahren nach einem der Anspriiche 1 bis 3, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
das Vorhandensein von Daten eines bestimmten Typs 
in einem Datenraum-Zugriffssystem (1) registriert, wo- 
nach der Inhaber der Rechte an den gespeicherten Da- 50 
ten in dem Informationscenter (3) Zugriffsrechte Drit- 
ter auf die Daten definieren kann. 

5. Verfahren nach einem der Anspriiche 1 bis 4, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
nach einer Anfrage eines anfragenden Datenraum-Zu- 55 
griff ssy stem (2) nach Daten eines bestimmten Typs 
eine Liste der vorhandenen Daten dieses bestimmten 
Typs unter Angabe des diese Daten jeweils speichern- 
den Datenraum-Zugriffssy stems (1) an das anfragende 
Datenraum-Zugriffssystem (2) iibertragt, fiir die die 60 
Zugriffsrechte des anfragenden Datenraum-Zugriffssy- 
stem (2) zu den im Informationscenter (3) fur diese Da- 
ten definierten Zugriffsrechten korrespondieren. 

6. Verfahren nach einem der Anspriiche 1 bis 5, da- 
durch gekennzeichnet, daB von einem Daten speichern- 65 
den Datenraum-Zugriffssystem (1) bei einer Anfrage 
nach bestimmten Daten eines bestimmten Typs eines 
anfragenden Datenraum-Zugriffssystems (2) eine 
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Uberprufung der Zugriffsrechte durch eine Anfrage an 
das Informationscenter (3) erfolgt, ob das anfragende 
Datenraum-Zugriffssystem auf die bestimmten Daten 
eines bestimmten Typs Zugriffsrechte hat, und die be- 
stimmten Daten eines bestimmten Typs von dem diese 
Daten speichernden Datenraum-Zugriffssystem (1) nur 
an das anfragende Datenraum-Zugriffssystem (2) fiber- 
tragen werden, wenn das diese Daten speichernde Da- 
tenraum-Zugriffssystem (1) von dem Informationscen- 
ter (3) eine Bestatigung erhalten hat. 

7. Verfahren nach einem der Anspriiche 1 bis 6, da- 
durch gekennzeichnet, daB ein bestirnmte Daten eines 
bestimmten Typs empfangendes Datenraum-Zugriffs- 
system (2) nur direkt nach einem jeweiligen Daten- 
empfang einen Zugriff auf die empfangenen Daten er- 
laubt. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzeichnet, daB von einem bestirnmte Daten 
eines bestimmten Typs selbst speichernden Daten- 
raum-Zugriffssystem (1) cin Zugriff auf die bestimm- 
ten Daten eines bestimmten Typs nur gewahrt wird, 
wenn eine positive Uberprufung der Zugriffsrechte 
durch eine Anfrage an das Informationscenter (3) er- 
folgt ist, ob das die bestimmten Daten eines bestimm- 
ten Typs selbst speichernde Datenraum-Zugriffssystem 
(1) fiir die bestimmten Daten eines bestimmten Typs 
Zugriffsrechte vorweisen kann. 

9. Verfahren nach einem der Anspriiche 1 bis 8, da- 
durch gekennzeichnet, daB das Informationsc enter (3) 
von einem neue Daten aufweisenden Datenraum-Zu- 
griffssystem (1) fiber das Vorhandensein neuer Daten 
eines bestimmten Typs benachrichtigt wird, woraufhin 
das Informationscenter (3) eine benachrichtigenden 
Bestatigung an das betreffende Datenraum-Zugriffssy- 
stem (1) sendet. 

10. Verfahren nach einem der Anspriiche 1 bis 9, da- 
durch gekennzeichnet, daB die Daten anhand einer vom 
Informationscenter (3) zugewiesenen nur einfach vor- 
handenen Identifizierung identifiziert werden, die von 
dem Informationscenter (3) nach einer Registrierung 
von neuen Daten an das diese Daten speichernde Da- 
tenraum-Zugriffssystem (1) ubertragen wird, damit 
dieses die jeweilige Identifizierung an die jeweiligen 
Daten anhangt. 

11. Verfahren nach einem der Anspriiche 1 bis 10, da- 
durch gekennzeichnet, daB das Informationscenter (3) 
nach einer Anfrage fiber Daten eines bestimmten Typs 
von einem Datenraum-Zufgriffssystem (2) eine Liste 
aller vorhandenen Daten dieses bestimmten Typs er- 
stellt, bevor es die Zugriffsrechte auf die Daten des be- 
stimmten Typs uberprfift, urn die Liste der vorhande- 
nen Daten dieses bestimmten Typs unter Angabe des 
diese Daten jeweils speichernden Datenraum-Zugriffs- 
systems (1) an das anfragende Datenraum-Zugriffssy- 
stem (2) zu ubertragen, fiir die das anfragende Daten- 
raum-Zugriffssystem (2) die Zugriffsrechte vorweisen 
kann. 

12. Verfahren nach einem der Anspriiche 1 bis 11, da- 
durch gekennzeichnet, daB bei einem gewfinschten Da- 
tenzugriff von einem Datenraum-Zugriffssystem (1) 
auf Daten eines bestimmten Typs zunachst eine An- 
frage nach solchen Daten des bestimmten Typs an das 
Informationscenter (3) geschickt wird. 

13. Verfahren nach einem der Anspriiche 1 bis 12, da- 
durch gekennzeichnet, daB bei einer gewfinschten Da- 
tenfibertragung von einem Daten speichernden Daten- 
raum-Zugriffssysten (1) an ein anfragendes Daten- 
raum-Zugriffssystem (2) von diesem zunachst eine An- 
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frage nach bestimmten Daten eines bestimmten Typs 
an das diese bestimmten Daten eines bestimmten Typs 
speichernde Datenraum-Zugriffssystem (1) geschickt 
wird. 

14. Verfahren nach einem der Anspriiche 1 bis 13, da- 5 
durch gekennzeichnet, daB die Daten in einem Daten- 
raum-Zugriffssystem (1, 2) in einem sicheren Daten- 
speicher gespeichert werden, wobei auf die darin ge- 
speicherten Daten kein direkter Zugriff moglich ist. 

15. Verfahren nach einem der Anspriiche 1 bis 14, da- 10 
durch gekennzeichnet, daB der Typ der Daten durch ih- 
ren Inhalt und/oder den Inhaber der Rechte an den Da- 
ten bestimmt wird. 

16. Verfahren nach einem der Anspriiche 1 bis 15, da- 
durch gekennzeichnet, daB die Zugriff srechte an ge- 15 
speicherten Daten durch den Inhaber der Rechte an den 
Daten zu einem beliebigen Zeitpunkt nach ihrer Regi- 
strierung in dem Informationscenter (3) definiert wer- 
den konnen und danach durch eine Neudefinition von 
dem Inhaber der Rechte an den Daten bclicbig wicder 20 
geandert werden konnen. 

17. Verfahren nach einem der Anspriiche 1 bis 16, da- 
durch gekennzeichnet, daB die Zugriff srechte an ge- 
speicherten Daten durch den Inhaber der Rechte an den 
Daten mit ihrer Speicherung in einem Datenraum-Zu- 25 
griff ssy stem (1, 2) vergeben werden konnen. 

18. Verfahren nach einem der Anspriiche 1 bis 17, da- 
durch gekennzeichnet, daB die Kommunikation zwi- 
schen einem Datenraiim-ZugriJXs system (1, 2) und dem 
Informationscenter (3) oder einem anderen Daten- 30 
raum-Zugriffssystern (2, 1) verschliisselt erfolgt. 

19. Verfahren nach Anspruch 18, dadurch gekenn- 
zeichnet, daB der Sender die von ihm gesendete Infor- 
mation mittels einem geheimen Signaturschliissels mit 
einer digitalen Signatur versieht, wodurch der Empfan- 35 
ger die gesendete Information mittels eines dazugeho- 
renden offentlichen Signaturschliissels iiberpriifen 
kann. 

20. Verfahren nach Anspruch 18 oder 19, dadurch ge- 
kennzeichnet, daB daB der Sender alle iibertragenen 40 
Daten mittels eines vom Empfanger ausgegebenen of- 
fentlichen Verschliisselungsschliissel kodiert, wodurch 
nur der Empfanger die iibertragenen Daten mittels ei- 
nes geheimen Verschlusselungsschliissels dekodieren 
kann. 45 

21. Verfahren nach einem der Anspriiche 18 bis 20, 
dadurch gekennzeichnet, daB sowohl jedes Datenraum- 
Zugriffssystem (1, 2) und das Informationscenter (3) 
als auch jeder Teilnehmer je einen geheimen und je ei- 
nen offentlichen Signaturschliissel und Verschliissel- 50 
ungsschliissel aufweisen. 

22. Verfahren nach Anspruch 21, dadurch gekenn- 
zeichnet, daB die geheimen Signaturschliissel und Ver- 
schliisselungsschliissel und/oder offentlichen Signatur- 
schliissel und Verschliisselungsschliissel eines Teilneh- 55 
mers auf einem Datentrager, wie z. B. einer Chipkarte, 
gespeichert sind. 

23. Verfahren nach einem der Anspriiche 1 bis 22, da- 
durch gekennzeichnet, daB sich ein auf das Netzwerk 
zugreifender Teilnehmer autorisieren muB und seine 60 
Identitat vom Informationscenter iiberpriift wird. 

24. Verfahren nach Anspruch 23, dadurch gekenn- 
zeichnet, daB die Identitat eines Tellnehmers auf einem 
Datentrager, wie z. B. einer Chipkarte, gespeichert ist. 

25. Verfahren nach einem der Anspriiche 1 bis 24, da- 65 
durch gekennzeichnet, daB die Erlaubnis der Speiche- 
rung der Daten durch den Inhaber der Rechte an den 
Daten spatestens bei einer Registrierung der Daten in 
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dem Informationscenter (3) erfolgt, wobei das Infor- 
mationscenter (3) ohne korrekte Autorisierung keinen 
spateren Datenzugriff auf diese Daten erlaubt. 
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